Kolejny atak na OpenSea doprowadził do kradzieży milionów dolarów w NFT

W zeszłym tygodniu cyberprzestępcy wykradli użytkownikom OpenSea setki niewymienialnych tokenów (NFT) na kwotę ponad 1,7 mln dolarów
Hakerzy wykorzystali odbywający się od kilku dni proces migracji kontraktów, którego ideą było zajęcie się istniejącymi nieaktywnymi wykazami starych NFT

Kolejny atak na OpenSea doprowadził do kradzieży milionów dolarów w NFT – analiza ekspercka

W zeszłym tygodniu cyberprzestępcy wykradli użytkownikom OpenSea setki niewymienialnych tokenów (NFT) na kwotę ponad 1,7 mln dolarów, czyli blisko 7 mln złotych! Większość ataków miała miejsce w godzinach od 17:00 do 20:00 czasu wschodniego i dotyczyła łącznie 32 użytkowników. Eksperci Check Point Research skrupulatnie przeanalizowali kampanię phishingową, która doprowadziła do największej w historii kradzieży NFT.

Zaledwie kilka dni temu OpenSea opublikowało artykuł o planowanej migracji kontraktów, której ideą było zajęcie się istniejącymi nieaktywnymi wykazami starych NFT i w tym celu planują uaktualnienie do nowego kontraktu. Wszyscy użytkownicy będą musieli „przenieść” swoje oferty w Ethereum do nowego smart kontraktu.

Sytuację wykorzystali hakerzy, którzy postanowili oszukać użytkowników NFT, używając e-maila OpenSea, którego ponownie wysłali do ofiar.

Naciśnięcie linku przekierowywało użytkowników do strony phishingowej, która prosiła ich o podpisanie transakcji. Atakujący zdecydował się użyć żądania atomicMatch do kradzieży NTF ofiar, ponieważ za jego pomocą był w stanie ukraść wszystkie NFT ofiary w jednej transakcji.

Przebieg ataku wygląda następująco:

Ofiara klika złośliwy link w wiadomości phishingowej
Link otwierał stronę phishingową, która prosiła ofiarę o podpisanie transakcji.
Po podpisaniu transakcji żądanie atomicMatch _ zostało wysłane do 0xa2c0946ad444dccf990394c5cbe019a858a945bd (kontrakt napastnika).
Atakujący następnie przekazywał żądanie do atomicMath pod adresem 0x7be8076f4ea4a4ad08075c2508e481d6c946d12b (umowa OpenSea)
Umowa OpenSea weryfikowała wszystkie parametry transakcji i realizowała transakcję, jako, że wszystko zostało zatwierdzone i podpisane przez ofiarę.
Kontrakt OpenSea komunikuje się z kontraktami NFT i przekazuje NFT od ofiary do atakującego zgodnie z parametrami atomicMatch .

Autor/Źródło:

Redakcja / Materiały prasowe

Wyświetl wszystkie artykuły

Ostatnie wpisy

Paypercut pozyskuje 5 mln EUR w rundzie seed na budowę infrastruktury płatniczej nowej generacji w Polsce i w CEE

AI w pracy bez zasad i nadzoru. Badanie Sharp pokazuje skalę zjawiska Shadow AI

Thorium Space i Creotech Instruments łączą siły w obszarze komunikacji satelitarnej

Gorące tematy

Gospodarka

Inflacja w strefie euro powyżej celu EBC. Podwyżka stóp coraz bardziej prawdopodobna

NBP utrzyma jastrzębi ton, ale bez podwyżki? RPP zdecyduje o stopach procentowych

Amerykański przemysł z mocnym odczytem PMI, ale źródła wzrostu budzą wątpliwości

Czerwcowa decyzja RPP: więcej argumentów za stabilizacją niż za cięciem

Inflacja zaskoczyła w Polsce i Niemczech. Rynki rewidują oczekiwania wobec stóp procentowych

Marketing

Długi firm reklamowych przekraczają 153 mln zł. Ponad 4 tys. firm z branży ma przeterminowane zobowiązania

UOKiK stawia zarzuty H&M i Peek & Cloppenburg. Chodzi o informowanie o obniżkach cen

Google ucina spekulacje o SEO w erze AI. Fundamenty pozostają te same

Zakup, leasing czy wynajem billboardu przy drodze – którą opcję wybrać?

Retail media rosną w polskim handlu. Ekrany w sklepach zauważa niemal co drugi klient

Finanse

RPP zostawiła stopy bez zmian. Raty kredytów mogą jednak znów wzrosnąć

NBP utrzyma jastrzębi ton, ale bez podwyżki? RPP zdecyduje o stopach procentowych

Czerwcowa decyzja RPP: więcej argumentów za stabilizacją niż za cięciem

Zmiana w zarządzie Banku Millennium. Marcin Dubno odpowie za obszar ryzyka

Długi firm reklamowych przekraczają 153 mln zł. Ponad 4 tys. firm z branży ma przeterminowane zobowiązania

Prawo

Minister Sprawiedliwości z karą od UODO. Chodzi o dane osobowe sędziów i aferę z 2019 r.

Spór z PFRON zagroził płynności firmy. Rzecznik MŚP mówi o zasadzie proporcjonalności

Certyfikacja wykonawców zmieni rynek zamówień publicznych. Firmy muszą przygotować się na nowe zasady

UOKiK i podsłuchy ABW. Kontrowersyjny wyrok otwiera spór o granice dowodów w sprawach antymonopolowych

Cyberbezpieczeństwo przestaje być domeną działów IT. Zarządy przejmują odpowiedzialność

Kolejny atak na OpenSea doprowadził do kradzieży milionów dolarów w NFT

Kolejny atak na OpenSea doprowadził do kradzieży milionów dolarów w NFT – analiza ekspercka

Chińscy cyberprzestępcy atakują Europę i Polskę. Wykorzystują popularne programy: Discord i usługi Microsoftu

Błąd w Meta AI umożliwiał przejmowanie kont na Instagramie

Wojna mocarstw w sieci: chińskie i rosyjskie grupy cyberszpiegów uderzają na całym świecie – także w Polce